首相官邸ページも「保護されていない通信」と表示される! その理由は常時SSL化にある
最新のGoogle Chromeでは、Webサイトによって「保護されていない通信」と表示されるようになった。
このメッセージは、けっしてマイナーなページだけで表示されるわけではない。
たとえば、
・首相官邸のホームページ
・大手企業のサイト
これらのWebページでも表示される。
しかし、そもそも「保護されていない通信」とはどういう意味なのだろうか?
●Chromeで「保護されていない通信」と表示されたら危険なのか?
現在、パソコン版のGoogle Chromeを利用しているユーザーは、Webサイトにアクセスしたとき表示される「保護されていない通信」というメッセージに不安を感じているかもしれない。
メッセージをクリックすると、赤い文字で「このサイトへの接続は保護されていません」と表示されるので、ますます不安になる。
ウィンドウ上部のURLボックスに「保護されていない通信」と表示される。クリックすると、赤い文字で「このサイトへの接続は保護されていません」と表示される。
問題のないWebサイトの場合はカギのマークが表示され、クリックすると「この接続は保護されています」と表示される。
いやいや、そんなサイトは小さい個人サイトだけでしょう、と思ったら大間違いだ。
同様のメッセージは、首相官邸のページ(http://www.kantei.go.jp/)でも、あるいはNTTのトップページ(http://www.ntt.co.jp/でも表示されるからだ。
首相官邸のホームページ
NTTグループのトップページ
実はこの「保護されていない通信」というメッセージは、
WebブラウザとWebサーバの間でやりとりするデータが暗号化されていない場合に表示されるのだ。
暗号化されていないと、ネットワークの途中で通信内容を傍受されたら、中身が読まれてしまう。
したがって、「保護されていない通信」のサイトでは、
・IDやパスワード
・氏名、住所
などの個人情報は入力しないのが安全だ。
逆にいうと、Webページを閲覧するだけであればそれほど危険はない。
個人情報を入力する必要がないのであれば、あまり神経質になる必要はない。
つまり公式な情報を提供する首相官邸のページやNTTのサイトで「保護されていない通信」と表示されたからといっても、大騒ぎするようなことではないのだ。
ただ、ユーザーに個人情報など、なんらかの情報を入力させるWebページで、
「保護されていない通信」
と表示された場合は、そのWebサイトは危険なサイトと判断して間違いない。
●Webの「常時SSL化」の流れ
Chromeでこういう表示がされるようになったのは、Webにおける「常時SSL化」が今後のトレンドになりつつあるからだ。
SSLはWebを暗号化する仕組みのことである。
SSLで暗号化されたWebサイトのURLは「https://」から始まるので直ぐわかる。
これに対して、暗号化されていない従来のサイトのURLは「http://」から始まる。
これまでは、IDやパスワード、クレジットカードの番号、氏名や住所などの個人情報を入力し、送信するページではSSL化が行われていたが、そうでない閲覧だけしかしないWebページではSSL化はされていなかった。
これは、WebサイトをSSL化するには、データを「暗号化 / 復号化」する仕組みが別に必要になるからだ。
当然、その仕組みを組み込むにはコストも手間も余計にかかる。さらにWebページを表示する際にも「暗号化 / 復号化」の処理が必要になるため、Webサイトのパフォーマンスにもマイナスの影響を与える。
しかし、昨今のサイバー攻撃は、そんなことをいっていられないほど高度化・複雑化してきた。
このため、安全第一で、すべてのWebサイトをSSL化してしまおうというのが、「常時SSL化」の流れなのだ。
●Chrome、Edge、FirefoxはOK、Internet ExplorerはNG
WebサイトがSSL化されているかどうかを区別するのは、Chromeだけではない。Microsoft Edge、Firefoxともに、SSL化されているサイトではカギのマークが表示される。
一方、SSL化されていないサイトでは、丸いiマークが表示され、クリックするとメッセージが表示される。
Microsoft EdgeでのSSL化されていないページを表示。画面は経済産業省のWebサイト。
FirefoxでのSSL化されていないページを表示。画面は文部科学省のWebサイト。
ただし、Internet Explorer(IE)では、このようなマークは表示されない。
・SSL化されたサイト
・SSL化されていないサイト
これらを区別できないのだ。
IEは、すでに開発が終了していることからも、IEの利用はやめた方が賢明だろう。
井上健語(フリーランスライター)
このメッセージは、けっしてマイナーなページだけで表示されるわけではない。
たとえば、
・首相官邸のホームページ
・大手企業のサイト
これらのWebページでも表示される。
しかし、そもそも「保護されていない通信」とはどういう意味なのだろうか?
●Chromeで「保護されていない通信」と表示されたら危険なのか?
現在、パソコン版のGoogle Chromeを利用しているユーザーは、Webサイトにアクセスしたとき表示される「保護されていない通信」というメッセージに不安を感じているかもしれない。
メッセージをクリックすると、赤い文字で「このサイトへの接続は保護されていません」と表示されるので、ますます不安になる。
ウィンドウ上部のURLボックスに「保護されていない通信」と表示される。クリックすると、赤い文字で「このサイトへの接続は保護されていません」と表示される。
問題のないWebサイトの場合はカギのマークが表示され、クリックすると「この接続は保護されています」と表示される。
いやいや、そんなサイトは小さい個人サイトだけでしょう、と思ったら大間違いだ。
同様のメッセージは、首相官邸のページ(http://www.kantei.go.jp/)でも、あるいはNTTのトップページ(http://www.ntt.co.jp/でも表示されるからだ。
首相官邸のホームページ
NTTグループのトップページ
実はこの「保護されていない通信」というメッセージは、
WebブラウザとWebサーバの間でやりとりするデータが暗号化されていない場合に表示されるのだ。
暗号化されていないと、ネットワークの途中で通信内容を傍受されたら、中身が読まれてしまう。
したがって、「保護されていない通信」のサイトでは、
・IDやパスワード
・氏名、住所
などの個人情報は入力しないのが安全だ。
逆にいうと、Webページを閲覧するだけであればそれほど危険はない。
個人情報を入力する必要がないのであれば、あまり神経質になる必要はない。
つまり公式な情報を提供する首相官邸のページやNTTのサイトで「保護されていない通信」と表示されたからといっても、大騒ぎするようなことではないのだ。
ただ、ユーザーに個人情報など、なんらかの情報を入力させるWebページで、
「保護されていない通信」
と表示された場合は、そのWebサイトは危険なサイトと判断して間違いない。
●Webの「常時SSL化」の流れ
Chromeでこういう表示がされるようになったのは、Webにおける「常時SSL化」が今後のトレンドになりつつあるからだ。
SSLはWebを暗号化する仕組みのことである。
SSLで暗号化されたWebサイトのURLは「https://」から始まるので直ぐわかる。
これに対して、暗号化されていない従来のサイトのURLは「http://」から始まる。
これまでは、IDやパスワード、クレジットカードの番号、氏名や住所などの個人情報を入力し、送信するページではSSL化が行われていたが、そうでない閲覧だけしかしないWebページではSSL化はされていなかった。
これは、WebサイトをSSL化するには、データを「暗号化 / 復号化」する仕組みが別に必要になるからだ。
当然、その仕組みを組み込むにはコストも手間も余計にかかる。さらにWebページを表示する際にも「暗号化 / 復号化」の処理が必要になるため、Webサイトのパフォーマンスにもマイナスの影響を与える。
しかし、昨今のサイバー攻撃は、そんなことをいっていられないほど高度化・複雑化してきた。
このため、安全第一で、すべてのWebサイトをSSL化してしまおうというのが、「常時SSL化」の流れなのだ。
●Chrome、Edge、FirefoxはOK、Internet ExplorerはNG
WebサイトがSSL化されているかどうかを区別するのは、Chromeだけではない。Microsoft Edge、Firefoxともに、SSL化されているサイトではカギのマークが表示される。
一方、SSL化されていないサイトでは、丸いiマークが表示され、クリックするとメッセージが表示される。
Microsoft EdgeでのSSL化されていないページを表示。画面は経済産業省のWebサイト。
FirefoxでのSSL化されていないページを表示。画面は文部科学省のWebサイト。
ただし、Internet Explorer(IE)では、このようなマークは表示されない。
・SSL化されたサイト
・SSL化されていないサイト
これらを区別できないのだ。
IEは、すでに開発が終了していることからも、IEの利用はやめた方が賢明だろう。
井上健語(フリーランスライター)